Usage des QR Codes, authentification multi facteurs, approche Zero Trust, quishing, mais aussi sensibilisation, bonnes pratiques et recommandations ! Fabrice de Vésian, Sales Manager France chez Yubico s’est prêté au jeu des questions – réponses.
La généralisation de l’authentification par QR codes et les cyber-risques associés
Quel est l’impact de l’utilisation des QR codes en matière de cybersécurité ?
Aujourd’hui, nous assistons à la généralisation de l’usage des QR codes comme facteur d’authentification au sein des entreprises, pour permettre aux employés d’accéder à des applications et des services, ou encore pour valider des opérations et des transactions. Ces codes sont très simples à utiliser et compatibles avec la plupart des smartphones, ce qui explique leur essor. Toutefois, ils représentent en réalité une porte d’entrée pour les cybercriminels qui les exploitent pour voler des informations sensibles ou infecter des appareils avec des malwares ; une technique d’attaque appelée quishing.
Pour parvenir à leurs fins, il suffit aux attaquants de créer un QR code frauduleux pour remplacer l’authentique, qui va rediriger les utilisateurs vers un site web malveillant, installer des malwares ou collecter des informations personnelles sans qu’ils ne s’en aperçoivent. Cette méthode est très similaire aux attaques de phishing traditionnelles, qui utilisent le même mode opératoire par le biais d’emails et de SMS qui semblent légitimes, mais qui redirigent en fait les utilisateurs vers des sites web frauduleux. Le souci, c’est que les utilisateurs font souvent confiance aux QR codes car ils sont omniprésents et perçus comme pratiques et sûrs.
Comment les entreprises peuvent-elles lutter contre ces attaques de phishing basées sur les QR codes ?
Concrètement, le renforcement de leur posture de sécurité repose sur l’adoption de solutions modernes d’authentification multi-facteurs (MFA) et résistantes au phishing, telles que les clés de sécurité physique qui prennent en charge les protocoles modernes comme FIDO2/WebAuthn, et répondent à la problématique d’une authentification sans mot de passe. Cela permet d’ajouter une couche supplémentaire de protection en cas de tentative d’attaque. Par exemple, si un cybercriminel parvient à inciter un utilisateur à scanner un QR code malveillant, la MFA résistante au phishing peut empêcher l’accès non autorisé à un compte en demandant à l’utilisateur de fournir quelque chose qu’il connaît, comme un code secret, et quelque chose qu’il possède, comme une clé de sécurité.
L’utilisation d’une clé de sécurité physique offre une protection robuste contre les tentatives de quishing et autres formes de piratage, car elle ne peut pas être dupliquée ni interceptée à distance, contrairement à un mot de passe à usage unique (OTP) envoyé par SMS.
De manière générale, l’approche Zero Trust appliquée aux QR codes est un bon moyen pour les entreprises de se protéger, car elle implique de ne jamais présumer de la légitimité d’un QR code, même s’il semble provenir d’une source fiable. Chaque QR code doit être traité comme potentiellement malveillant jusqu’à preuve du contraire.
Concrètement, comment peut-on vérifier la légitimité des QR codes avant de les scanner ?
Outre la mise en place d’une authentification multi-facteurs moderne résistante au phishing à l’échelle de l’entreprise, il est essentiel d’encourager les utilisateurs à vérifier la source et le contexte des QR codes, pour éviter de scanner ceux provenant de sources inconnues ou des codes falsifiés. Il est également possible de scanner le QR code avec une application de sécurité permettant de prévisualiser et d’analyser les URL avant de les ouvrir. Cette analyse peut notamment permettre de détecter toute anomalie ou différence par rapport aux sites légitimes, en vérifiant les fautes d’orthographe ou les caractères inhabituels. Ce sont des principes de base mais ils contribuent à la prévention des attaques réussies.
Enfin, il faut souligner que ces méthodes doivent faire partie d’une stratégie globale de sécurité, mais aussi être accompagnées de formations sur les risques liés à l’emploi des QR codes. Les organisations doivent en effet s’assurer que l’ensemble des collaborateurs ont une connaissance des cybermenaces et des différentes techniques d’attaques susceptibles de les viser, et des bonnes pratiques à adopter pour s’en protéger.
Comment trouver l’équilibre entre sécurité et expérience utilisateur ?
Trouver le juste équilibre entre cybersécurité et expérience utilisateur est bien souvent un défi pour les entreprises. Pour le relever, elles ont tout intérêt à adopter une approche proactive et centrée sur l’utilisateur. Cela implique qu’elles intègrent des mesures de sécurité intuitives et non invasives, qui renforcent la sécurité sans perturber l’utilisateur dans ses missions.
C’est précisément ce sur quoi nous concentrons nos efforts chez Yubico avec les YubiKeys, qui offrent une expérience très simple et efficace, avec un niveau maximal de sécurité en matière d’authentification multi-facteurs. La cybersécurité ne doit en aucun cas être compromise au profit de la productivité, ni être perçue comme un frein ; au contraire, elle est essentielle pour assurer la continuité des activités et maintenir la confiance des clients, des fournisseurs et autres tiers qui interagissent avec l’organisation.
Pour conclure, quels conseils donneriez-vous aux entreprises ?
La seule façon efficace de lutter contre le quishing, et les attaques de phishing de manière générale, c’est d’être en mesure d’éliminer tous les éléments qui peuvent être interceptés par les cybercriminels au cours du processus d’authentification de chaque utilisateur. Dans l’environnement numérique actuel, en constante évolution, le déploiement d’une authentification sécurisée qui accompagne les utilisateurs sur tous les appareils, toutes les plateformes et tous les services, depuis n’importe quel endroit, est une nécessité absolue.
Outre les solutions de sécurité, j’insiste également sur l’importance de former et de sensibiliser l’ensemble des collaborateurs aux cyberattaques et aux bonnes pratiques pour s’en protéger.
Enfin, les entreprises font face à une augmentation sans précédent de la variété et de la complexité des cybermenaces. Cette tendance est exacerbée par le recours croissant à l’intelligence artificielle (IA). C’est pourquoi il y a une véritable urgence à ce que les entreprises accélèrent leur transition vers une authentification sans mot de passe. Des milliards d’identifiants volés sont aujourd’hui disponibles sur le Dark Web et les cybercriminels lancent des tentatives de connexion automatisées à l’aide de mots de passe compromis. Nous nous efforçons chez Yubico de sensibiliser les entreprises à ces risques, et de les accompagner dans cette transition pour faire évoluer leurs pratiques, à la hauteur de l’évolution des cybermenaces.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
Les articles les plus consultés
- ActiveViam fait travailler les data scientists et les décideurs métiers ensemble
- 10 grandes tendances Business Intelligence
- Intelligence Artificielle : DeepKube sécurise en profondeur les données des entreprises
- Les projets d’intégration augmentent la charge de travail des services IT
- L’utilisation des données pour survivre !
Les plus consultés sur iTPro.fr
- Comment éviter les fuites de données ? un webinaire des experts Kyocera
- Black Friday le 29 novembre : les cybercriminels en embuscade, prudence !
- DSI & directeurs financiers : une relation plus solide pour de meilleurs résultats
- Le support IT traditionnel pourrait disparaitre d’ici 2027
- L’IA et l’IA générative transforment la cybersécurité